27.11.2015

Informationssicherheit, TKÜ, Privacy by Design, Kameras:

Thiel stellt 22. Tätigkeitsbericht 2013-2014 vor

HANNOVER. Die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, hat am Freitag in Hannover den 22. Tätigkeitsbericht für die Jahre 2013 und 2014 der Öffentlichkeit vorgestellt. Nach Angaben von Thiel ist die Themenvielfalt des 196-seitigen Berichts beeindruckend. Sie mache einmal mehr deutlich, dass die Verwendung personenbezogener Daten inzwischen alle Lebensbereiche erfasse.

Ein Feld mit „beängstigend hohem Gefahrenpotential“ ist nach den Worten der Landesdatenschutzbeauftragten die Informationssicherheit. Die globale Überwachung durch Nachrichtendienste unter anderem mittels Programmen wie PRISM oder Backdoor-Methoden habe gezeigt, wie fragil die Schutzmechanismen gegen Ausspähung tatsächlich seien. „Ich erwarte insbesondere vom Land und den Kommunen, dass sie ihrer Pflichtaufgabe nachkommen und die IT-Architektur wirksamer gegen Angriffe von innen und außen wappnen“, sagte Thiel und forderte den Einsatz sicherer Hard- und Software und eine konsequente Ende-zu-Ende-Verschlüsselung.

Deutliche Kritik übte die Landesdatenschutzbeauftragte an der von Niedersachsen und Bremen seit Oktober 2012 gemeinsam betriebenen Telekommunikationsüberwachung. „Die beim Landeskriminalamt in Hannover stationierte Anlage ging seinerzeit in den Echtbetrieb, obwohl die datenschutzrechtlichen Voraussetzungen noch nicht nachgewiesen waren.“ Trotz zwischenzeitlich nachgereichter Unterlagen unter anderem zur Betriebs- und IT-Sicherheitskonzeption seien immer noch insgesamt 44 Mängelpunkte offen. Es fehlten belastbare Aussagen zur Risikoanalyse, die erforderliche Mandantenfähigkeit der TKÜ-Anlage sei nicht nachgewiesen, und das Rechte-Rollen-Konzept sei ebenso unvollständig wie die datenschutzkonforme Protokollierung der Datenverarbeitungsschritte. Auch ein Gespräch mit dem Innenminister im September 2013 habe nichts bewirkt. „Die Erledigung der Mängelliste ist mir gegenüber nach nahezu zwei Jahren nicht nachgewiesen worden.“ Erst im Mai 2015 sei der Gesprächsfaden zwischen ihrer Behörde und dem LKA wieder aufgenommen worden. Thiel forderte das LKA Niedersachsen auf, die gesetzlich verankerten datenschutzrechtlichen Vorschriften für eine Überwachungsanlage, die tief in die Grundrechte der Menschen eingreife, in den nächsten Monaten eigeninitiativ umzusetzen und die Mängelliste konsequent abzuarbeiten.

Thiel sprach sich für die stärkere Berücksichtigung des Privacy-by-Design-Ansatzes aus, also die Berücksichtigung datenschutzrechtlicher Anforderungen schon bei der Entwicklung von Produkten. „Dadurch kann verhindert werden – und das zahlt sich letztlich auch für die Unternehmen und Behörden aus –, dass Schutzmaßnahmen mit überhöhtem Aufwand in späteren Betriebsphasen nachgebessert werden müssen.“

Nach Angaben Thiels hat das Thema Kameras in Bussen und Bahnen ihre Behörde im Berichtszeitraum erneut intensiv beschäftigt. „In den Fahrgastbereichen herrscht inzwischen eine totale Überwachung, flächendeckend und rund um die Uhr.“ Die Aufnahmen auf Vorrat zu speichern („black-box-Verfahren“), stelle aber lediglich eine Sicherheitssuggestion dar. Thiel: „Die Kameras führen im Fall eines Übergriffs gerade nicht zu einem von bedrohten oder verletzten Fahrgästen erwarteten und erhofften Polizei- oder Rettungswageneinsatz, sondern erhöhen – wenn überhaupt – die Wahrscheinlichkeit, dass Verdächtige hinterher gefasst werden.“ Auch der vielfach behauptete Abschreckungseffekt sei wissenschaftlich nicht nachgewiesen.

Von den zahlreichen im Tätigkeitsbericht vorgestellten Fällen erwähnte die Landesdatenschutzbeauftragte außerdem beispielhaft

• die vom Verwaltungsgericht Hannover bestätigte Rechtsauffassung der Landesdatenschutzbehörde, dass die Speicherung von Personalausweiskopien durch einen Logistikdienstleister unzulässig ist;
• die Geschwindigkeitsüberwachungsanlage „Section Control“, die auf der B6 südlich von Hannover errichtet wird und datenschutztechnisch dahingehend überprüft wird, ob Datenmissbrauchsfälle tatsächlich mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen sind;
• die öffentlichkeitswirksamen Auftritte von freiwilligen Feuerwehren auf Facebook, bei denen mitunter Bilder und Einsatzörtlichkeiten zu sehen waren, die einen unmittelbaren Personenbezug ermöglichten. In einzelnen Fällen wurde sogar die exakte Wohnanschrift mit der Hausnummer des Einsatzes veröffentlicht. Auch wurden Bilder eines Brandobjekts in Kombination mit der Wohnadresse auf die Facebookseite hochgeladen;
• das vernetzte Auto, das Dutzende von Datenkategorien erhebt und verarbeitet und damit ein umfassendes Persönlichkeitsprofil des Fahrers ermöglicht. Die Begehrlichkeiten für solche Datensammlungen sind groß. Die Informationen sind nicht nur für Automobilhersteller, sondern auch für Kreditkartenfirmen, Scoringunternehmen, Versicherungen und Arbeitgeber interessant. Zu der Frage, wem diese personenbezogenen Daten gehören, mache das Bundesdatenschutzgesetz, so Thiel, eine klare Aussage: Sie gehören dem Fahrer;
• Webcams in touristischen Gebieten, deren Betreiber die Beratungskompetenz der Datenschutzbehörde gerne in Anspruch nahmen, um ihre durchweg nur zu Marketingzwecken installierten Kameras datenschutzkonform so auszugestalten, dass die Persönlichkeitsrechte der erfassten Personen nicht verletzt werden. Insgesamt wurden rund 100 Webcams kontrolliert. 14 von ihnen, installiert an zehn unterschiedlichen Orten, mussten beanstandet werden;
• die hannoversche Primark-Filiale, die sich aufgrund eines Kontrollverfahrens veranlasst sah, die Zahl der Kameras von 120 auf 60 zu reduzieren und zudem erklärte, das mit der Datenschutzbehörde abgestimmte Konzept so auch in allen weiteren deutschen Filialen anwenden zu wollen.